Nota Informativa para profesionales de salud
Para operaciones de tratamiento de datos personales de salud
Finalidad del documento
Este documento "Health Professional Information Notice" (HPIN) tiene como objetivo cumplir con las obligaciones de información a los interesados que disponen los artículos 13 y 14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD)
Su propósito es informar a los profesionales sanitarios sobre el tratamiento de sus datos personales de contacto profesional ante la demanda de asistencia sanitaria por parte de un paciente de un estado de la Unión Europea y el uso de sistemas de acceso a datos clínicos habilitado para facilitar la asistencia sanitaria transfronteriza.
Ámbito de trabajo
La Infraestructura de servicios digitales de e-salud (eHDSI o eHealth DSI) permite acceder a la información clínica de pacientes, a través de medios electrónicos seguros, a aquellos profesionales sanitarios involucrados en la provisión de asistencia sanitaria, incluida la prestación farmacéutica, para pacientes europeos.
Este acceso se realiza a través de una ruta de enlace segura proporcionada por los Puntos de Contacto Nacionales para e-salud (NCPeH) designados por cada Estado Miembro de la UE. Estos NCPeH designados por cada Estado, actúan como responsables del tratamiento de datos para la recopilación, almacenamiento, transferencia y otras operaciones sobre datos personales e información clínica.
Usted, como profesional sanitario, puede acceder a esta información de los pacientes, para los fines de asistencia sanitaria, incluyendo la prestación farmacéutica, a través de la aplicación habilitada por la Comunidad Autónoma en la que realiza su trabajo, para el acceso al Sistema de Historia Clínica Digital del SNS o para el acceso al Sistema de Receta electrónica del SNS.
Responsable del tratamiento
Los Servicios de Salud Autonómicos son responsables del tratamiento de datos personales en el ámbito de sus competencias para el intercambio de datos dentro del SNS y con otros Estados Miembros de la UE. Usted puede consultar con su Servicio de Salud quién es responsable del tratamiento de sus datos. Es responsable del tratamiento de datos personales a nivel del Ministerio de Sanidad la Subdirección General de Información Sanitaria. El Delegado de Protección de Datos del Ministerio de Sanidad es el titular de la Subdirección General de Recursos Humanos.
El Ministerio de Sanidad tiene su domicilio en Paseo del Prado 18, 28014 Madrid. El Ministerio de Sanidad no tiene responsabilidad sobre los datos administrativos que de sus profesionales sanitarios tengan los Servicios de Salud Autonómicos.
Finalidades del tratamiento
Tratamos sus datos personales para que usted, en calidad de profesional de la salud, pueda prestar los servicios asistenciales y de prestación farmacéutica a un paciente que proceda de otro Estado Miembro de la Unión Europea (UE). Cuando se produzca un evento de asistencia sanitaria o prestación farmacéutica, sus datos podrán ser comunicados a otro estado miembro de la UE siempre a través de las redes de información segura autonómicas, nacionales y europeas habilitadas al efecto. Asimismo, en el caso de que un paciente nacional solicite asistencia sanitaria, incluyendo la prestación farmacéutica, en otro estado miembro, sus datos como profesional de contacto en los documentos comunicados o como prescriptor de recetas podrán ser tratados en el estado de tratamiento, siendo en tal caso de aplicación la normativa de ese Estado.
Sus datos se tratarán conforme a los principios y obligaciones dispuestos en el RGPD y la LOPDGDD. Concretamente, el tratamiento de sus datos se hará siempre que sea preciso, para cumplir una ley, para cumplir con una obligación contractual entre usted y el Servicio de Salud o por motivos de interés público, en los términos dispuestos en los artículos 6.1.c) y e) del RGPD. En este sentido, la comunicación de sus datos fuera del Sistema Nacional de Salud, se efectuará para cumplir las obligaciones que dispone la Directiva 2011/24/UE de Asistencia Sanitaria Transfronteriza en sus artículos 4, 5, 11 y 14.
Categoría de los datos que tratamos
Tratamos datos personales de tipo identificativo y de contacto profesional de los profesionales de la salud que prestan servicios asistenciales, incluída la prestación farmacéutica.
Cómo hemos obtenido sus datos
Los datos personales que se comunicarán a otro Estado Miembro a través de las redes de información seguras autonómicas, nacionales y europeas, proceden de los diferentes Servicios de Salud autonómicos.
Cuál es la legitimación para el tratamiento de sus datos personales
La base legal para el tratamiento de sus datos personales son los artículos 6.1.b), c) y e) del RGPD, la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos y garantías de los derechos digitales, aquella normativa nacional de adaptación del mismo, la Directiva 2011/24/UE de Asistencia Sanitaria Transfronteriza, en cumplimiento de las obligaciones establecidas en la misma y su normativa nacional de transposición, para el cumplimiento de una obligación legal y de una misión de interés público.
Por cuánto tiempo, dónde conservamos sus datos y qué medidas aplicamos
El almacenamiento de los datos personales podrá realizarse en los Servicios de Salud autonómicos y en los estados miembros donde un paciente nacional haya solicitado prestación asistencial o farmacéutica.
El plazo de conservación de sus datos personales y de contacto profesional dentro del SNS es el dispuesto por parte de cada Servicio de Salud, en cumplimiento de las obligaciones legales y contractuales aplicables.
El plazo de conservación de sus datos personales en otro Estado Miembro podrá variar en función de las obligaciones legales a las que esté sometido o del tiempo que se precise para hacer efectiva la prestación asistencial y/o farmacéutica.
Cada Estado Miembro, en función de su legislación nacional, podrá aplicar periodos de conservación más amplios para fines de archivo en interés público, de investigación científica o con fines estadísticos, para los cuales se aplicarán las oportunas medidas que salvaguarden la privacidad, como la anonimización de los datos personales, entre otras.
Todos los Estados Miembros de la UE estarán sometidos a los principios y obligaciones que dispone el RGPD en el tratamiento de datos personales. Si bien los plazos de conservación en otros Estados Miembros pueden variar.
Los Responsables del tratamiento, en la comunicación de datos dentro de las redes nacionales y europeas, aplican las medidas organizativas adecuadas para preservar la privacidad de los ciudadanos. También aplican las medidas técnicas y de seguridad que se disponen en el Esquema Nacional de Seguridad (Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica) y las medidas de seguridad que dispone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
Quiénes podrán acceder a sus datos
Sus datos personales y la información clínica de pacientes atendidos podrán comunicarse dentro del SNS, entre las diferentes Comunidades Autónomas, las ciudades autónomas de Ceuta y Melilla y con otros Estados Miembros de la Unión Europea. Los profesionales que tendrán acceso serán los debidamente autorizados y habilitados en cada jurisdicción y para cada caso. El tratamiento de sus datos en otros Estados miembros de la UE se efectuará por parte de profesionales, habilitados a tal efecto, para que puedan realizar las funciones relacionadas con la provisión de asistencia sanitaria, incluida la prestación farmacéutica, que haya solicitado un paciente. Estos profesionales, tal como indica la normativa en materia de protección de datos, estarán sometidos al deber de secreto. Fuera de los mencionados supuestos, no existirán cesiones a terceros, ni transferencias internacionales de datos.
Cuáles son sus derechos
Puede ejercer los derechos de acceso, rectificación, supresión, oposición y limitación de su tratamiento, cuando así proceda, ante el responsable del tratamiento de su Comunidad Autónoma y/o Servicio de Salud o INGESA. A tal efecto deberá dirigir un escrito en la forma que éste le indique, o mediante el formulario habilitado en la sede electrónica correspondiente.
Asimismo, usted podrá ejercer estos derechos ante el responsable del tratamiento del Estado Miembro de la UE.
También le informamos que puede presentar una reclamación ante la Agencia Española de Protección de Datos cuando no haya obtenido satisfacción en el ejercicio de sus derechos.